Silver Ticket
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: iscriviti a Intigriti, una premium bug bounty platform creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi, e inizia a guadagnare bounty fino a $100,000!
L'attacco Silver Ticket comporta lo sfruttamento dei ticket di servizio negli ambienti Active Directory (AD). Questo metodo si basa su acquisire l'hash NTLM di un account di servizio, come un account computer, per forgiare un ticket del Ticket Granting Service (TGS). Con questo ticket falsificato, un attaccante può accedere a servizi specifici sulla rete, impersonando qualsiasi utente, tipicamente puntando a privilegi amministrativi. Si sottolinea che l'uso di chiavi AES per forgiare ticket è più sicuro e meno rilevabile.
Per la creazione di ticket, vengono impiegati diversi strumenti a seconda del sistema operativo:
Il servizio CIFS è evidenziato come un obiettivo comune per accedere al file system della vittima, ma altri servizi come HOST e RPCSS possono essere sfruttati anche per attività e query WMI.
WMI
HOST
RPCSS
PowerShell Remoting
HOST
HTTP
A seconda del sistema operativo anche:
WSMAN
RPCSS
WinRM
HOST
HTTP
In alcune occasioni puoi semplicemente chiedere: WINRM
Attività Pianificate
HOST
Condivisione File di Windows, anche psexec
CIFS
Operazioni LDAP, incluso DCSync
LDAP
Strumenti di Amministrazione Remota di Windows
RPCSS
LDAP
CIFS
Golden Tickets
krbtgt
Utilizzando Rubeus puoi richiedere tutti questi biglietti utilizzando il parametro:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
4624: Accesso all'Account
4634: Disconnessione dall'Account
4672: Accesso Amministrativo
Negli esempi seguenti immaginiamo che il biglietto venga recuperato impersonando l'account amministratore.
Con questo biglietto sarai in grado di accedere alla cartella C$
e ADMIN$
tramite SMB (se sono esposte) e copiare file in una parte del file system remoto semplicemente facendo qualcosa come:
Potrai anche ottenere una shell all'interno dell'host o eseguire comandi arbitrari utilizzando psexec:
PsExec/Winexec/ScExecCon questo permesso puoi generare attività pianificate nei computer remoti ed eseguire comandi arbitrari:
Con questi biglietti puoi eseguire WMI nel sistema della vittima:
Trova ulteriori informazioni su wmiexec nella seguente pagina:
WmiExecCon l'accesso winrm a un computer puoi accedervi e persino ottenere un PowerShell:
Controlla la seguente pagina per imparare altri modi per connettersi a un host remoto utilizzando winrm:
WinRMNota che winrm deve essere attivo e in ascolto sul computer remoto per accedervi.
Con questo privilegio puoi eseguire il dump del database DC utilizzando DCSync:
Scopri di più su DCSync nella pagina seguente:
Suggerimento per bug bounty: iscriviti a Intigriti, una premium piattaforma di bug bounty creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi, e inizia a guadagnare ricompense fino a $100,000!
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)